[gelöst] Kein WAN-Zugriff mit 802.1q-VLAN

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
matzus
Beiträge: 15
Registriert: 22.08.2015 17:54:05

[gelöst] Kein WAN-Zugriff mit 802.1q-VLAN

Beitrag von matzus » 04.02.2018 06:30:55

Aloha,

ich habe ein VLAN-Interface wie folgt eingerichtet:

Code: Alles auswählen

[...]
auto eno1.2
iface eno1.2 inet dhcp

Per DHCP erhält das Interface korrekt seine Konfiguration:

Code: Alles auswählen

eno1.2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.2.10  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::76d4:35ff:fe10:a572  prefixlen 64  scopeid 0x20<link>
        ether 74:d4:35:10:a5:72  txqueuelen 1000  (Ethernet)
        RX packets 582  bytes 68162 (66.5 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1149  bytes 85373 (83.3 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Das VLAN-Gateway wird korrekt erreicht:

Code: Alles auswählen

matze@PC:~$ ping -c3 -I eno1.2 192.168.2.1
PING 192.168.2.1 (192.168.2.1) from 192.168.2.10 eno1.2: 56(84) bytes of data.
64 bytes from 192.168.2.1: icmp_seq=1 ttl=64 time=0.367 ms
64 bytes from 192.168.2.1: icmp_seq=2 ttl=64 time=0.181 ms
64 bytes from 192.168.2.1: icmp_seq=3 ttl=64 time=0.442 ms

--- 192.168.2.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2049ms
rtt min/avg/max/mdev = 0.181/0.330/0.442/0.109 ms

Adressen im Internet sind hingegen NICHT erreichbar:

Code: Alles auswählen

matze@PC:~$ ping -c3 -I eno1.2 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 192.168.2.10 eno1.2: 56(84) bytes of data.

--- 8.8.8.8 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2035ms

Nun werdet Ihr vermutlich auf eine fehlerhafte Router- oder Firewallkonfiguration tippen. Das kann ich ausschließen; dem gesamten Netz 192.168.2.0/24 ist durch die Firewall (eine pfSense-Box) der Zugriff auf das Internet gestattet. Bei anderen DHCP-Clients im selben Netz gibt es keinerlei Probleme.

Ich stehe hier gerade ziemlich auf dem Schlauch und komme nicht weiter. Würdet Ihr mir bitte helfen? Danke!
Zuletzt geändert von matzus am 16.02.2018 16:48:16, insgesamt 1-mal geändert.

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Kein WAN-Zugriff mit 802.1q-VLAN

Beitrag von Cae » 04.02.2018 08:35:00

Schaut nach Routenproblem aus, namentlich die Standardroute der pingenden Kiste (existiert sie, zeigt sie auf den richtigen Router und wirklich auf das VLAN-Interface?) oder, weniger wahrscheinlich, die Rueckroute auf dem VLAN-terminierenden Router (zeigt sie auch in's dortige VLAN-Interface hinein?). Falls das alles stimmt, wuerde ich testhalber das packet capture auf der pfSense anmachen, kurz pingen, ausmachen und mir den Dump per Wireshark lokal anschauen. Da sollte recht schnell ersichtlich sein, wo Pakete stecken bleiben.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

BenutzerGa4gooPh

Re: Kein WAN-Zugriff mit 802.1q-VLAN

Beitrag von BenutzerGa4gooPh » 04.02.2018 10:22:42

Vom Einfachen zum Komplexen:
1. Auf Host (Default-) Routen prüfen, route -n
2. Mache auf der PFSEnse loggende Regeln für VLAN-IF und WAN-IF (inbound und outbound), pinge und schaue ins Log der PFSense.
(Testweise einfach allow all für ICMP als 1. Regel der Kette)
3. Dann Vorschlag von @Cae (aufwändiger).

Hier noch moderne Tuts:
https://scriptingcorner.net/2015/05/21/ ... inrichten/
http://blog.werthman.de/debian-vlan-int ... erstellen/
Fehler bei vconfig, modprobe?
"Verhaltensänderung"? https://forum.ubuntuusers.de/topic/vlan ... nterfaces/

matzus
Beiträge: 15
Registriert: 22.08.2015 17:54:05

Re: Kein WAN-Zugriff mit 802.1q-VLAN

Beitrag von matzus » 16.02.2018 16:47:47

Zunächst einmal vielen Dank für die hilfreichen Antworten! Bitte entschuldigt die lange Funkstille, ich kam in der letzten Zeit nicht dazu, mich hier weiter zu kümmern.


Das Problem war die fehlerhafte Defaultroute. Ich habe sie wie folgt gesetzt:

Code: Alles auswählen

matze@PC:~$ sudo ip route add default via 192.168.2.1 dev eno1.2 onlink

Nun sehen die Routen auf dem Host so aus:

Code: Alles auswählen

matze@PC:~$ ip route show
default via 192.168.2.1 dev eno1.2 onlink 
192.168.1.0/24 dev eno1 proto kernel scope link src 192.168.1.10 
192.168.2.0/24 dev eno1.2 proto kernel scope link src 192.168.2.10 

Das Internet ist nun über das gewünschte Interface erreichbar, nicht jedoch mehr über das physikalische Interfache (was auch so gewünscht ist):

Code: Alles auswählen

matze@PC:~$ ping -c3 -I eno1.2 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 192.168.2.10 eno1.2: 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=59 time=32.0 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=59 time=17.5 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=59 time=13.4 ms

--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 13.423/21.036/32.091/8.000 ms


matze@PC:~$ ping -c3 -I eno1 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 192.168.1.10 eno1: 56(84) bytes of data.

--- 8.8.8.8 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2025ms

Also noch einmal vielen Dank, ich markiere den Thread als gelöst :)

Antworten